architektura

Přehled webexu pro BroadWorks

Co je v diagramu?

Klienti

  • Klient Webex Appu slouží jako primární aplikace ve Webexu pro nabídky Cisco BroadWorks. Klient je k dispozici na desktopových, mobilních a webových platformách.

    Klient má nativní zasílání zpráv, přítomnost a vícedílné schůzky se zvukem a videem poskytované cloudem Webex. Klient Webex používá infrastrukturu BroadWorks pro volání SIP a PSTN.

  • Ip telefony Cisco a související příslušenství také používají infrastrukturu BroadWorks pro volání SIP a PSTN. Očekáváme, že budeme moci podporovat telefony třetích stran.

  • Portál aktivace uživatelů, aby se uživatelé mohli přihlásit k Webexu pomocí svých přihlašovacích údajů BroadWorks.

  • Partner Hub je webové rozhraní pro správu vaší organizace Webex a organizací vašich zákazníků. Partner hub je místo, kde nakonfigurujete integraci mezi infrastrukturou BroadWorks a Webexem. Partner hub používáte také ke správě konfigurace a fakturace klientů.

Síť zprostředkovatele služeb

Zelený blok na levé straně diagramu představuje vaši síť. Součásti hostované v síti poskytují následující služby a rozhraní pro jiné části řešení:

  • XSP ADP|pro veřejnost, pro Webex pro Cisco BroadWorks: (Pole představuje jeden nebo více farem XSP|ADP, případně čelících vyrovnávačům zatížení.)

    • Hostuje rozhraní Xtended Services Interface (XSI-Actions & XSI-Events), Službu správy zařízení (DMS), rozhraní CTI a ověřovací službu. Tyto aplikace společně umožňují telefonům a klientům Webexu ověřit se, stáhnout konfigurační soubory volání, volat a přijímat hovory a navzájem si zobrazit stav háku (přítomnost telefonního subsystému) a historii hovorů.

    • Publikuje adresář klientům webexu.

  • XSP ADP|veřejně orientovaný s platformou NPS:

    • hostitelský nabízený server oznámení volání hostitele: Server nabízených oznámení na XSP|ADP ve vašem prostředí. Propojuje se mezi vaším aplikační serverem a naším proxy serverem NPS. Proxy server dodává do vašeho NPS krátkodobé tokeny pro autorizaci oznámení do cloudových služeb. Tyto služby (APNS & FCM) odesílají oznámení o hovorech klientům Webex na zařízeních Apple iOS a Google Android.

  • Aplikační server:

    • Poskytuje řízení volání a rozhraní s jinými systémy BroadWorks (obecně)

    • Pro zřizování toku používá as partnerský správce k zřizování uživatelů ve Webexu

    • Posune profil uživatele do BroadWorks.

  • OSS/BSS: Váš systém provozní podpory / služby BUSINESS SIP pro správu vašich podniků BroadWorks.

Webex Cloud

Modrý blok v diagramu představuje cloud Webex. Mikroslužby Webex podporují celé spektrum možností spolupráce Webex:

  • Cisco Common Identity (CI) je služba identity v rámci webexu.

  • Webex pro Cisco BroadWorks představuje sadu mikroslužeb, které podporují integraci mezi Webexem a poskytovatelem služeb Hostované BroadWorks:

    • Rozhraní API pro zřizování uživatelů

    • Konfigurace poskytovatele služeb

    • Přihlášení uživatele pomocí přihlašovacích údajů BroadWorks

  • Okno Zasílání zpráv Webex pro mikroslužby související se zasíláním zpráv.

  • Pole Schůzky Webex představující servery pro zpracování médií a SBC pro videokonferenty více účastníků (SIP a SRTP)

Webové služby třetích stran

V diagramu jsou znázorněny následující součásti třetích stran:

  • Služba APNS (Apple Push Notifications Service) odešlí oznámení o hovorech a zpráv aplikacím Webex na zařízeních Apple.

  • FCM (FireBase Cloud Messaging) posílá oznámení o hovorech a zprávách aplikacím Webex na zařízeních Android.

Aspekty architektury XSP|ADP

Role veřejně přístupných serverů XSP|ADP ve Webexu pro Cisco BroadWorks

Veřejný XSP|ADP ve vašem prostředí poskytuje Webex a klientům následující rozhraní/služby:

  • Ověřovací služba (AuthService), zabezpečená protokolem TLS, který reaguje na požadavky webexu na JWT BroadWorks (JSON Web Token) jménem uživatele

  • Rozhraní CTI, zabezpečené mTLS, ke kterému se Webex přihlásí k odběru událostí historie volání a stavu telefonního subsystému od BroadWorks (stav háku).

  • Rozhraní Xsi akcí a událostí (eXtended Services Interface) pro řízení volání předplatitelů, adresáře kontaktů a seznamů volání a konfiguraci telefonní služby koncového uživatele

  • Služba DM (Device Management) pro klienty k načtení konfiguračních souborů volání

Při konfiguraci služby Webex pro cisco BroadWorks dodávají adresy URL pro tato rozhraní. (Viz část Konfigurace clusterů BroadWorks v prostředí Partner Hub v tomto dokumentu.) Pro každý cluster můžete zadat pouze jednu adresu URL pro každé rozhraní. Pokud máte do infrastruktury BroadWorks více rozhraní, můžete vytvořit více clusterů.

Architektura XSP|ADP

Architektura XSP|ADP: Možnost 1
Architektura XSP|ADP: Možnost 2

K hostování aplikace serveru NPS (Notification Push Server) vyžadujeme, abyste použili samostatnou, vyhrazenou instanci|XSP ADP nebo farmu. Stejný server NPS můžete použít se společností UC-One SaaS nebo UC-One Collaborate. Nesmíte však být hostitelem ostatních aplikací požadovaných pro Webex pro Cisco BroadWorks na stejném XSP|ADP, který je hostitelem aplikace NPS.

Doporučujeme použít vyhrazenou instanci / farmu XSP|ADP k hostování požadovaných aplikací pro integraci služby Webex z následujících důvodů.

  • Pokud například nabízíte UC-One SaaS, doporučujeme vytvořit novou farmu XSP|ADP pro Webex pro Cisco BroadWorks. Tímto způsobem mohou tyto dvě služby pracovat nezávisle při migraci odběratelů.

  • Pokud umístíte aplikace Webex pro Cisco BroadWorks na farmě XSP|ADP, která se používá pro jiné účely, je vaší odpovědností sledovat využití, spravovat výslednou složitost a plánovat rozšířené škály.

  • Plánovač kapacity systému Cisco BroadWorks předpokládá vyhrazenou farmu XSP|ADP a nemusí být přesný, pokud ji používáte pro výpočty kolokací.

Není-li uvedeno jinak, musí vyhrazené Webex pro Cisco BroadWorks XSP|ADP hostovat následující aplikace:

  • AuthService (TLS s ověřením tokenu CI nebo mTLS)

  • CTI (mTLS)

  • Akce XSI (TLS)

  • Události XSI (TLS)

  • DMS (TLS) – Volitelné. Není povinné nasadit samostatnou instanci DMS nebo farmu specificky pro Webex pro Cisco BroadWorks. Můžete použít stejnou instanci DMS, kterou používáte pro aplikaci UC-One SaaS nebo UC-One Collaborate.

  • Nastavení volání Webview (TLS) – Volitelné. Webové zobrazení nastavení volání (CSW) je vyžadováno pouze v případě, že chcete, aby uživatelé Webex pro Cisco BroadWorks mohli konfigurovat funkce volání v aplikaci Webex.

Webex vyžaduje přístup k CTI prostřednictvím rozhraní zabezpečeného vzájemným ověřováním TLS. Pro podporu tohoto požadavku doporučujeme jednu z těchto možností:

  • (Obrázek označen jako možnost 1) Jedna instance XSP|ADP nebo farma pro všechny aplikace, se dvěma rozhraními nakonfigurovanými na každém serveru: rozhraní mTLS pro CTI a rozhraní TLS pro jiné aplikace, jako je AuthService.

  • (Diagram označený možnost 2) Dvě instance nebo farmy XSP|ADP, jeden s rozhraním mTLS pro CTI a druhý s rozhraním TLS pro jiné aplikace, jako je například AuthService.

XSP|Opětovné použití ADP

Pokud máte stávající farmu XSP|ADP, která odpovídá jedné z navrhovaných architektur výše (možnost 1 nebo 2) a je lehce nabitá, je možné znovu použít stávající XSP|ADP. Bude třeba ověřit, zda neexistují žádné konfliktní požadavky konfigurace mezi stávajícími aplikacemi a novými požadavky aplikace pro Webex. Mezi hlavní hledisky se přivažují:

  • Pokud potřebujete podporovat více partnerských organizací Webex v XSP|ADP, znamená to, že musíte použít v ověřovací službě mTLS (ověření tokenu CI je podporováno pouze pro jednu partnerskou organizaci v XSP|ADP). Pokud používáte mTLS v ověřovací službě, znamená to, že nemůžete mít klienty, kteří používají základní ověřování ve službě ověřování současně. Tato situace by zabránila opětovnému použití|XSP ADP.

  • Pokud je stávající služba CTI nakonfigurovaná tak, aby ji mohli používat klienti se zabezpečeným portem (obvykle 8012), ale bez mTLS (tj. ověření klienta), bude to v rozporu s požadavkem mTLS služby Webex.

Protože XSP|ADP mají mnoho aplikací a počet permutací těchto aplikací je velký, mohou se vyskytnout další neidentifikované konflikty. Z tohoto důvodu by jakékoli potenciální opětovné použití XSP|ADP mělo být před závazkem k opětovnému použití ověřeno v laboratoři s zamýšlenou konfigurací.

Konfigurovat synchronizaci NTP na XSP|ADP

Nasazení vyžaduje synchronizaci času pro všechny platformy XSP|ADP, které používáte s Webexem.

Po instalaci operačního systému a před instalací softwaru BroadWorks nainstalujte balíček NTP. Poté můžete nakonfigurovat NTP během instalace softwaru XSP|ADP. Další podrobnosti viz Příručka pro správu softwaru BroadWorks.

Během interaktivní instalace softwaru XSP|ADP máte možnost konfigurovat NTP. Postupujte takto:

  1. Až se instalační program zeptá: Chcete nakonfigurovat NTP?, zadejte y.

  2. Když se instalační program zeptá: Bude tento server serverem NTP?, zadejte n.

  3. Když se instalační program zeptá: Jaká je adresa NTP, název hostitele nebo FQDN?, zadejte adresu serveru NTP nebo veřejné služby NTP, například pool.ntp.org.

Pokud vaše XSP|ADP používají tichou (neinteraktivní) instalaci, konfigurační soubor instalačního programu musí obsahovat následující páry Key=Value:

NTP
NTP_SERVER=

Požadavky na identitu a zabezpečení XSP|ADP

Pozadí

Protokoly a šifry připojení Cisco BroadWorks TLS jsou konfigurovatelné na různých úrovních specifičnosti. Tyto úrovně sahají od nejobecnějšího (zprostředkovatelE SSL) až po nejkonektičnější (individuální rozhraní). Konkrétnější nastavení vždy přepíše obecnější nastavení. Pokud nejsou zadány, nastavení SSL nižší úrovně jsou zděděna z vyšších úrovní.

Pokud se z výchozích hodnot nezmění žádné nastavení, všechny úrovně zdědí výchozí nastavení poskytovatele SSL (JSSE Java Secure Sockets Extension).

Seznam požadavků

  • Server XSP|ADP se musí ověřit vůči klientům pomocí certifikátu podepsaného certifikační autoritou, ve kterém se obecný název nebo alternativní název předmětu shoduje s doménovou částí rozhraní XSI.

  • Rozhraní Xsi musí podporovat protokol TLSv1.2.

  • Rozhraní Xsi musí používat šifrovací sadu, která splňuje následující požadavky.

    • Diffie-Hellman Pomíjivá (DHE) nebo Eliptické křivky Diffie-Hellman Pomíjivá (ECDHE) výměna klíčů

    • Šifra AES (Advanced Encryption Standard) s minimální velikostí bloku 128 bitů (např. AES-128 nebo AES-256)

    • Režim šifrování GCM (Galois/Counter Mode) nebo CBC (Cipher Block Chaining)

      • Pokud je použita šifra CBC, je pro odvození klíče povolena pouze rodina hash funkcí SHA2 (SHA256, SHA384, SHA512).

Požadavky splňují například následující šifry:

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

Rozhraní příkazového řádku XSP|ADP vyžaduje pro šifrovací sady úmluvu IANA, jak je uvedeno výše, nikoli úmluvu openSSL.

Podporované šifry TLS pro rozhraní AuthService a XSI

Tento seznam se může měnit s tím, jak se budou vyvíjet naše požadavky na zabezpečení cloudu. Postupujte podle aktuálního doporučení zabezpečení cloudu Cisco ohledně výběru šifr, jak je popsáno v seznamu požadavků v tomto dokumentu.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Parametry měřítka událostí Xsi

Možná budete muset zvětšit velikost fronty Xsi-Events a počet vláken, abyste mohli zpracovat objem událostí, které vyžaduje řešení Webex pro Cisco BroadWorks. Parametry můžete zvýšit na minimální zobrazené hodnoty následujícím způsobem (nesnižovat je, pokud jsou vyšší než tyto minimální hodnoty):

XSP|ADP_CLI/aplikace/Xsi-Events/BWInteintegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWInteintegration> eventHandlerThreadCount = 50

Více poskytovatelů XSP|ADP

Prvek hrany vyrovnávání zatížení

Pokud máte na okraji sítě prvek vyrovnání zátěže, musí transparentně zpracovávat rozložení provozu mezi vaše více servery XSP|ADP a cloudem Webex pro Cisco BroadWorks a klienty. V takovém případě byste pro konfiguraci Cisco BroadWorks poskytli adresu URL vyvažovače zatížení pro webex.

Poznámky k této architektuře:

  • Nakonfigurujte službu DNS tak, aby klienti mohli při připojování k rozhraní Xsi najít vyrovnávání zatížení (viz konfigurace DNS).

  • Doporučujeme nakonfigurovat hraniční prvek v režimu reverzního proxy SSL, abyste zajistili šifrování dat z bodu na bod.

  • Certifikáty z XSP|ADP01 a XSP|ADP02 by měly mít v alternativním názvu předmětu doménu XSP|ADP, například your-XSP|ADP.example.com. Měly by mít vlastní FQDN, například XSP|ADP01.example.com, ve společném názvu. Můžete použít certifikáty se zástupnými znaky, ale nedoporučujeme je.

Servery XSP|ADP zaměřené na internet

Pokud rozhraní XSI vystavíte přímo, použijte server DNS k distribuci provozu na více serverech XSP|ADP.

Poznámky k této architektuře:

  • K připojení k serverům XSP|ADP jsou vyžadovány dva záznamy:

    • Pro mikroslužby Webex: Pro cílové více IP adres XSP|ADP jsou vyžadovány záznamy A/AAAA typu Round-robin. Je to proto, že mikroslužby Webex nemohou provádět vyhledávání SRV. Příklady naleznete v tématu Cloudové služby Webex.

    • Pro aplikaci Webex: Záznam SRV, který převádí na záznamy, kde každý Záznam převádí na jeden XSP|ADP. Příklady naleznete v Aplikaci Webex.

      Použijte prioritní záznamy SRV pro nasměrování služby XSI pro více adres XSP|ADP. Stanovte si priority záznamů SRV, aby mikroslužby vždy přešly na stejný záznam A (a následující IP adresu) a přesunuly se na další záznam A (a IP adresu), pouze pokud není první IP adresa. NEPOUŽÍVEJTE pro aplikaci Webex přístup typu „round-robin“.

  • Certifikáty z XSP|ADP01 a XSP|ADP02 by měly mít v alternativním názvu předmětu doménu XSP|ADP, například your-XSP|ADP.example.com. Měly by mít vlastní FQDN, například XSP|ADP01.example.com, ve společném názvu.

  • Můžete použít certifikáty se zástupnými znaky, ale nedoporučujeme je.

Vyhněte se přesměrování HTTP

Někdy je server DNS nakonfigurován tak, aby vyřešil adresu URL XSP|ADP na vyvažovač zatížení HTTP a vyvažovač zatížení je nakonfigurován tak, aby přesměroval přes zpětný proxy server na servery XSP|ADP.

Při připojování k zadaným adresám URL Webex nenásleduje přesměrování , takže tato konfigurace nefunguje.

Architektura a infrastruktura

  • S jakým měřítkem hodláte začít? V budoucnu je možné vertikálně navýšit kapacitu, ale váš současný odhad využití by měl řídit plánování infrastruktury.

  • Na velikosti infrastruktury XSP|ADP ve spolupráci s manažerem účtu Cisco / obchodním zástupcem spolupracujte podle plánovače kapacity systému Cisco BroadWorks a příručky Cisco BroadWorks System Engineering.

  • Jak Webex vytváří připojení společného protokolu TLS k vašim ADP XSP|? Přímo na XSP|ADP v DMZ, nebo přes proxy TLS? To má vliv na správu certifikátů a adresy URL, které pro rozhraní používáte. (Nešifrovaná připojení TCP na okraji sítě nepodporujeme).